Gizlilik Politikası

Bu Gizlilik Politikası, Canacia ("Canacia", "biz", "bize", "bizim") tarafından canacia.com web sitesi ("Web Sitesi"), iOS ve Android için Canacia mobil uygulaması ("Uygulama") ve beta erişim bekleme listesi dahil ilgili tüm hizmetlerin (topluca "Hizmet") kullanımı sırasında kişisel verilerin nasıl toplandığını, kullanıldığını, açıklandığını, saklandığını ve korunduğunu tanımlar.

Yalnızca Web Sitesi'ne veya yalnızca Uygulama'ya özel bölümler açıkça belirtilmiştir. Belirli yargı alanlarına (örneğin, Kaliforniya veya Avrupa Ekonomik Alanı) özgü bölümler de açıkça belirtilmiştir.

Canacia, bitki stres teşhisi, besleme rehberliği ve bağlamsal yetiştirme takibi sağlayan akıllı bir yetiştirme işletim sistemi olarak konumlandırılmıştır. Bitki yetiştirme faaliyeti, bulunduğunuz yargı alanında ulusal, bölgesel veya yerel yasa ve düzenlemelere tabi olabilir; planlanan kullanımınızın bulunduğunuz yerde yasal olduğunu doğrulamak münhasıran sizin sorumluluğunuzdadır. Hizmet, yalnızca yürüteceğiniz yetiştirme faaliyetinin yasal olduğu yargı alanlarında ve yalnızca 18 yaş ve üzeri kişiler tarafından kullanılmak üzere tasarlanmıştır.

Bu politika, Hizmet'in bağlantı verebileceği üçüncü taraf web siteleri, uygulamaları, uygulama mağazaları veya hizmetleri için (örneğin, Apple App Store veya Google Play) — bu hizmetler Canacia ile entegre olsa dahi — geçerli değildir. Söz konusu hizmetler, kendi gizlilik politikalarına tabidir ve bunları incelemenizi tavsiye ederiz.

Avrupa Birliği / Birleşik Krallık Genel Veri Koruma Tüzüğü ("GDPR"), Almanya Federal Veri Koruma Kanunu (Bundesdatenschutzgesetz, "BDSG"), 6698 sayılı Türk Kişisel Verilerin Korunması Kanunu ("KVKK"), CPRA ile değişik California Tüketici Gizliliği Yasası ("CCPA") ve eşdeğer mevzuat kapsamında, bu politika kapsamındaki kişisel verilerden sorumlu veri sorumlusu, Canacia projesini bireysel sıfatıyla yürüten ve şu an Berlin, Almanya Federal Cumhuriyeti'nde ikamet eden gerçek kişi Bektaş Albayrak'tır. Şu an itibarıyla ayrı bir tüzel kişilik (Alman hukuku altında GmbH veya UG, Türk hukuku altında şirket, limited şirket, anonim şirket veya tescilli şahıs işletmesi ya da başka bir hukuk sistemi altında tescilli işletme türü) kurulmamıştır; bu nedenle İşleten, tek başına gerçek kişi veri sorumlusu olarak hareket etmektedir (topluca "İşleten" veya "Canacia"). İleride bir tüzel kişilik kurulur ve veri sorumlusu olarak İşleten'in yerini alırsa, güncel veri sorumlusu kimliği, tescilli merkezi ve ticaret-sicil numaraları bu sayfada yansıtılacaktır.

Gizlilikle ilgili sorularınız, veri sahibi haklarını kullanma talepleriniz veya bu politika kapsamındaki diğer her konu için privacy@canacia.com, genel ürün desteği için support@canacia.com adresine yazabilirsiniz. İşleten'in tam sağlayıcı kimliği — İşleten'e ulaşılabilen ve hukuki tebligat yapılabilen tebligata elverişli posta adresi (ladungsfähige Anschrift) dahil — Almanya Dijital Hizmetler Yasası'nın (Digitale-Dienste-Gesetz, DDG; eski adıyla Almanya Telemedya Yasası, TMG) §5'i ve GDPR Madde 13(1)(a) uyarınca, /imprint adresindeki Künye (Impressum) sayfasında yayımlanmaktadır. Künye sayfasına Hizmet'in her sayfasının altbilgisinden (footer) erişilebilir.

Veri Koruma Görevlisi (DPO): DPO atamadık. İşleten tek başına bir gerçek kişi olup işlemenin ölçeği ve niteliği, GDPR Madde 37 kapsamında veya BDSG §38 kapsamında zorunlu DPO ataması için belirlenen eşiklere ulaşmamaktadır. İlgili bir eşik aşıldığında DPO atanacak ve bu politika güncellenecektir.

AB temsilcisi — GDPR Madde 27: İşleten Avrupa Ekonomik Alanı'nda yerleşiktir (Berlin, Almanya), bu nedenle GDPR Madde 27 (AEA-dışı yerleşik veri sorumluları için temsilci yükümlülüğü) uygulanmaz. Birleşik Krallık temsilcisi — UK-GDPR Madde 27: İşleten Birleşik Krallık'ta yerleşik değildir; Birleşik Krallık sakinlerinin kişisel verilerini işleme ölçeğimiz veya niteliğimiz UK-GDPR Madde 27'yi tetikleyen düzeye ulaştığında, Birleşik Krallık temsilcisi atanacak ve bu sayfada kimliği yayımlanacaktır.

Aşağıda açıklanan kişisel veri kategorilerini topluyoruz. Size hangilerinin uygulanacağı, Web Sitesi'ni mi, Uygulama'yı mı yoksa her ikisini birden mi kullandığınıza ve etkinleştirdiğiniz isteğe bağlı özelliklere göre değişir.

Web Sitesi — Bekleme listesi ve iletişim: Beta bekleme listesine katıldığınızda veya bir iletişim formu kullandığınızda; e-posta adresiniz, seçtiğiniz dil ve istekle ilişkili sınırlı teknik metaveri (user-agent dizesi, HTTP referrer, istek zaman damgası ve kötüye kullanım önleme amacıyla IP adresinizden türetilen tuzlu özet) toplanır. Ham IP adresi, özet oluşturulduktan sonra saklanmaz.

Uygulama — Hesap: Bulut senkronizasyonunu etkinleştirmek için hesap oluşturursanız, e-posta adresiniz ve kimlik doğrulama sağlayıcımız tarafından düzenlenen kimlik doğrulama belirteçleri toplanır. Hesap parolası saklamayız; kimlik doğrulama, parolasız sihirli bağlantı (magic-link) veya tek kullanımlık kod akışlarıyla yapılır. Kayıtlarınızla ilişkilendirme amacıyla dahili olarak kullanılan kalıcı bir kullanıcı tanımlayıcısı (UUID) da toplayabiliriz.

Uygulama — Yetiştirme kayıtları ("yetiştirme verileri"): Uygulama; bitkiler, ortamlar, ölçümler (sıcaklık, nem, EC, pH, ışık şiddeti), besleme ve sulama olayları, vaka notları, aksiyon planları ve takip görevleri hakkında bilgi kaydetmenize olanak tanır. Bu bilgiler varsayılan olarak cihazınızda yerel olarak saklanır. Bulut senkronizasyonunu (opt-in) etkinleştirirseniz, aynı bilgiler sunucularımıza aktarılır ve orada saklanır.

Uygulama — Fotoğraflar: Vaka belgelendirmesi için Uygulama içinde çektiğiniz fotoğraflar, vaka kayıtlarınızın bir parçası olarak cihazınızda; bulut senkronizasyonu etkin ise sunucularımızda da saklanır. Bir vakayı değerlendirmeye gönderdiğinizde, ilgili fotoğraflar arka uçumuza ve analiz için AI alt veri işleyicimize iletilir (bkz. Bölüm 6 ve Bölüm 7).

Uygulama — Ses kayıtları: Sesli kayıt veya sesli sohbet kullandığınızda, sesiniz cihazda yakalanır ve transkripsiyon için bir ses-metin alt veri işleyicisine iletilir. Ham ses, transkripsiyon tamamlandıktan sonra ne tarafımızca ne de alt veri işleyici tarafından saklanır; yalnızca ortaya çıkan metin kaydınızın parçası olur.

Uygulama — Sohbet metinleri: Uygulama içi yetiştirme asistanına gönderdiğiniz mesajlar; sınırlı bağlam (son ölçümler, bitki türü/çeşit/aşaması ve sohbet geçmişi) ile birlikte yanıt üretmek üzere işlenir ve kaydınızın parçası olarak saklanabilir.

Uygulama — Tanı ve ürün analitiği: Uygulama'yı kullanmaya devam ettikçe; çökme raporları, uygulama performans metrikleri (gecikme, hata oranı, kare zamanlaması) ve anonim ürün etkileşimi olayları (ekran görüntülemeleri, özellik kullanım sıklığı) toplanabilir. Analitik toplamayı Uygulama'nın gizlilik ayarlarından kapatabilirsiniz; çökme raporlamasını ayrı olarak kapatabilirsiniz.

Uygulama — Cihaz ve teknik veriler: Uygulama'yı çalıştırmak için gerekli sınırlı cihaz verisini işleriz; işletim sistemi sürümü, uygulama sürümü, yerel ayar, saat dilimi ve push bildirim yönlendirmesi için işletim sistemi tarafından düzenlenen sıfırlanamaz bir cihaz tanımlayıcısı dahil.

Çerezler ve benzeri teknolojiler (yalnızca Web Sitesi): Web Sitesi, çalışması için (örneğin, dil tercihi) az sayıda kesinlikle gerekli çerez ve yerel depolama girdisi kullanır. Web Sitesi şu an reklam çerezi veya üçüncü taraf izleme etiketi kullanmaz. Daha fazla ayrıntı için Bölüm 13'e bakınız.

Özel nitelikli kişisel veriler: Hizmet, GDPR Madde 9 ve KVKK Madde 6 anlamında özel nitelikli kişisel verileri (sağlık, ırk veya etnik köken, dini inançlar, biyometrik veri veya siyasi görüş gibi) işlemek üzere tasarlanmamıştır ve bu tür verileri Hizmet üzerinden göndermemelisiniz. Gönderdiğiniz fotoğraflar tesadüfen tanımlanabilir kişiler içeriyorsa, göndermeden önce ilgili kişilerden açık rıza alınız.

GDPR'nin uygulandığı durumlarda, kişisel verilerinizi yalnızca Madde 6(1) uyarınca aşağıdaki hukuki dayanaklardan biri veya birkaçının karşılanması halinde işleriz:

Sözleşmenin ifası — Madde 6(1)(b) / KVKK Madde 5/2(c): Talep ettiğiniz Hizmet'i sağlamak için (hesap oluşturma, bulut senkronizasyonu, vaka değerlendirmesi, sesli transkripsiyon ve girdilerinize dayalı AI destekli rehberlik dahil).

Açık rıza — Madde 6(1)(a) / KVKK Madde 5/1: Gerçekten isteğe bağlı işleme için; pazarlama iletişimi, kesinlikle gerekli tanılamayı aşan isteğe bağlı ürün analitiği ve gelecekte olumlu opt-in gerektirecek herhangi bir özellik dahil. Önceden gerçekleştirilen işlemenin hukuka uygunluğunu etkilemeksizin, rızanızı istediğiniz zaman geri çekebilirsiniz.

Meşru menfaat — Madde 6(1)(f) / KVKK Madde 5/2(f): Hizmet'i işletmek, güvenli kılmak ve geliştirmek; kötüye kullanım ve dolandırıcılığı önlemek; Kullanım Şartları'mızı uygulamak; agregede edilmiş veya takma adlandırılmış veriler üzerinde dahili araştırma ve analiz yapmak için. Meşru menfaate dayandığımızda bu menfaati hak ve özgürlüklerinizle dengeleriz; söz konusu işlemeye Madde 21 uyarınca itiraz edebilirsiniz (bkz. Bölüm 9).

Yasal yükümlülüğe uyum — Madde 6(1)(c) / KVKK Madde 5/2(ç): Kamu makamlarının hukuka uygun taleplerine yanıt vermek, vergi, ticaret veya ürün-güvenliği mevzuatının gerektirdiği kayıtları tutmak ve mahkeme kararlarına uymak için.

Hayati menfaat — Madde 6(1)(d) ve kamu yararı — Madde 6(1)(e): Şu an bu dayanaklara güvenmiyoruz.

KVKK uygulanan durumlarda, gerekli olduğunda Madde 5/2 dayanaklarına (sözleşmenin ifası için gereklilik, hukuki yükümlülük ve Madde 5/2(f) uyarınca meşru menfaat dahil) ve gerektiğinde Madde 5/1 uyarınca açık rızaya dayanırız. KVKK Madde 6 kapsamındaki özel nitelikli kişisel veriler bilerek işlenmez.

Kişisel verilerinizi aşağıdaki amaçlarla işleriz:

Hizmet sunumu: Uygulama ve Web Sitesi'ni işletmek, sizi kimlik doğrulamak, senkronizasyonu etkinleştirdiğinizde verilerinizi cihazlarınız arasında senkronize etmek, vakaları değerlendirmek ve tanı çıktıları üretmek, sesli girişi transkribe etmek, takip planları ve hatırlatmaları sunmak.

Beta erişim yönetimi: Beta erişim taleplerini almak, önceliklendirmek ve yanıtlamak; lansman ve dağıtım bilgilerini iletmek; bölgesel talebi anlamak.

Ürün geliştirme: Hizmet'in gerçek dünya kullanımındaki performansını anlamak, kusurları ve gerilemeleri tespit etmek, iyileştirmeleri önceliklendirmek ve düzeltmeleri doğrulamak. Bu amaç kesinlikle gerekli tanılamanın ötesine geçtiğinde işleme açık rızaya dayanır.

Güvenlik ve kötüye kullanım önleme: Hileli veya hukuka aykırı faaliyetleri, Hizmet'in kötüye kullanımını, teknik saldırıları ve Şartlarımızın ihlallerini tespit etmek, önlemek ve bunlara müdahale etmek.

Yasal ve uyumluluk: Geçerli yasalara uymak ve hukuka uygun taleplere yanıt vermek; haklarımızı ve başkalarının haklarını korumak; denetim ve vergi kayıtlarını tutmak.

Kişisel verileri satmıyoruz. Kişisel verilerinizi bağlamlar arası davranışsal reklamcılık için paylaşmıyoruz. Yetiştirme verilerinizi, fotoğraflarınızı, ses kayıtlarınızı veya sohbet metinlerinizi herhangi bir üçüncü taraf reklam sistemini eğitmek için kullanmıyoruz; yetiştirme verilerinizi üçüncü taraflara kendi pazarlama veya ticari amaçları için sağlamıyoruz.

Hizmet, temel özellikleri sunmak için üçüncü taraf AI alt veri işleyicilerini kullanır. Bu özellikler için içerik gönderdiğinizde, ilgili içerik talimatlarımız altında alt veri işleyiciye iletilir. Alt veri işleyiciye iletilen veriyi, talep edilen iş için gerekli olanla sınırlı tutarız.

Bitki teşhisi, yetiştirme rehberliği ve görsel analiz: Fotoğraflar, bitki bağlamı (tür/çeşit/aşama/ortam), son ölçümler, son besleme ve sulama olayları ve kullanıcı istemi, sıralanmış olası nedenler, öneriler ve takip planları üretmek üzere Anthropic Claude API tarafından işlenir. Kullanılan model Claude Sonnet 4.6'dır (claude-sonnet-4-6).

Sohbet desteği: Uygulama içi yetiştirme asistanına gönderdiğiniz mesajlar; düzenlenmiş sohbet geçmişi ve yapılandırılmış bitki bağlamı ile birlikte Anthropic Claude API tarafından işlenir. Ek olarak, kısa sorguları benzerlik aramak için vektörlere dönüştürmek üzere OpenAI text-embedding API'sini kullanarak adınıza ilgili bilgi tabanı pasajlarını getiririz; bilgi içeriğinin kendisi altyapımızda kalır.

Sesli transkripsiyon: Uygulama'da kaydettiğiniz ses, metin transkripti elde etmek üzere OpenAI ses-transkripsiyon API'sine (gpt-4o-transcribe, yedek olarak gpt-4o-mini-transcribe) iletilir. Transkripsiyon tamamlandıktan sonra ham ses tarafımızca saklanmaz; ortaya çıkan metin kaydınızın parçası olur.

İçerik moderasyonu: Sohbet girdileri, istek dil modeline iletilmeden önce yasaklı içerik kategorilerini tespit etmek için OpenAI moderasyon API'sinden geçer. Moderasyon çıktıları (kategorik bir skor) geçici olarak işlenir ve başka bir amaçla kullanılmaz.

AI alt veri işleyici veri muamelesi (varsayılan şartlar): Anthropic'in Ticari Kullanım Şartları ve Kullanım Politikası uyarınca, API girdileri ve çıktıları Anthropic'in modellerini eğitmek için kullanılmaz ve güven-ve-emniyet incelemesi için 30 güne kadar saklanır ("Varsayılan Saklama"). OpenAI'nin API veri kullanım politikası uyarınca, API girdileri ve çıktıları OpenAI'nin modellerini eğitmek için varsayılan olarak kullanılmaz ve kötüye kullanım izlemesi için 30 güne kadar saklanır. Bu saklama süreleri sağlayıcı tarafından tek taraflı olarak belirlenir; saklanan içeriklere bu pencere içinde erişimimiz yoktur.

Sıfır Veri Saklama (ZDR): Bu politikanın tarihinde Canacia'nın Anthropic veya OpenAI ile imzalanmış bir Sıfır Veri Saklama (Zero-Data-Retention) ek anlaşması bulunmamaktadır. İleride bir veya daha fazla AI alt veri işleyici ile ZDR müzakere edersek, bu bölüm söz konusu düzenlemeyi ve etkilenen işleme faaliyetlerini yansıtacak şekilde güncellenecektir.

İnsan incelemesi: Rutin ürün operasyonlarının parçası olarak bireysel sohbetlere, istemlere veya çıktılara erişmiyor ya da bunları incelemiyoruz. Yeniden üretilebilir bir kusurun, güvenlik olayının veya doğrulanmış bir kötüye kullanım raporunun araştırılması için yetkili mühendislik personelinin sınırlı erişimi; dahili erişim kontrolleri ve denetim günlüğüne tabi olarak yalnızca bilmesi gereken esasına göre gerçekleşebilir.

Hizmet'i sağlamak üzere aşağıdaki alt veri işleyicileri görevlendiriyoruz. Her alt veri işleyici, GDPR Madde 28 ve KVKK'nın eşdeğer hükümleri ile tutarlı veri-koruma yükümlülükleri içeren yazılı bir sözleşmeye tabidir.

Web sitesi barındırma — Vercel Inc., Delaware'de kurulu bir şirket olup merkez adresi 340 S Lemon Ave #4133, Walnut, California 91789, Amerika Birleşik Devletleri'dir. Rolü: canacia.com web sitesini ve sunucusuz fonksiyonları barındırır. Veriler: HTTP istek metaverisi, transit halindeki bekleme listesi başvuruları, web günlükleri.

Arka uç platformu ve depolama — Supabase, Inc., Delaware'de kurulu, San Francisco, California, Amerika Birleşik Devletleri'nde merkezli bir şirket; yönetilen PostgreSQL, Edge Functions (Deno), nesne depolama ve kimlik doğrulama sağlar. Rolü: Uygulama'nın birincil arka ucu. Veriler: hesap verileri, senkronize yetiştirme verileri, vaka kayıtları, fotoğraflar (senkronizasyon etkin olduğunda), sohbet geçmişi, denetim günlükleri. Barındırma bölgesi: mümkün olduğu yerlerde, projemiz Avrupa Birliği'nde bulunan Supabase bölgelerini kullanacak şekilde yapılandırılmıştır; hesabınız için geçerli olan özel bölge talep üzerine doğrulanabilir.

AI işleme — dil ve görsel — Anthropic, PBC, Delaware'de kurulu kamu yararına çalışan bir şirket olup merkez adresi 548 Market Street, San Francisco, California 94104, Amerika Birleşik Devletleri'dir. Rolü: Yetiştirme rehberliği, bitki teşhisi, sohbet desteği, gösterge paneli önerileri ve görsel analiz için kullanılan Claude API sağlayıcısı. Girdiler: fotoğraflar, bitki bağlamı, çevresel ölçümler, sohbet metni ve geçmişi. Saklama: güven-ve-emniyet incelemesi için 30 güne kadar; API verileri üzerinde model eğitimi yapılmaz, Bölüm 6'da açıklandığı gibi.

AI işleme — sesli transkripsiyon, içerik moderasyonu ve embedding — OpenAI API'si üzerinden sağlanır. 1 Ocak 2026'da yürürlüğe giren OpenAI Hizmet Sözleşmesi ve Veri İşleme Eki kapsamında OpenAI sözleşme tarafı, müşterinin yerleşim yerine göre belirlenir: Avrupa Ekonomik Alanı veya İsviçre'de yerleşik müşteriler OpenAI Ireland Limited ile, diğer tüm müşteriler ise OpenAI OpCo, LLC (eski adıyla OpenAI, L.L.C.) ile sözleşme yapar. İşleten Avrupa Ekonomik Alanı'nda yerleşik olduğu için (Berlin, Almanya Federal Cumhuriyeti), bu özellikler için GDPR Madde 28 kapsamındaki doğrudan sözleşme tarafımız OpenAI Ireland Limited'tir — İrlanda Cumhuriyeti'nde kayıtlı limited şirket olup kayıtlı merkez adresi 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, İrlanda'dır. Veri sahibinin bölgesi, OpenAI'nin işlemeyi bağlı kuruluşları arasında dahili olarak nasıl yönlendirdiğini etkileyebilir; ancak bu, GDPR Madde 28 kapsamındaki doğrudan sözleşme tarafımızı değiştirmez — bu taraf OpenAI Ireland Limited olarak kalır. OpenAI Ireland Limited, OpenAI bağlı kuruluşlarını — özellikle belirli Birleşik Krallık ve sonraki-aktarım işlemeleri için OpenAI OpCo, LLC'yi (OpenAI, Inc.'in işletim iştiraki olup merkez adresi 1455 3rd Street, San Francisco, California 94158, Amerika Birleşik Devletleri'dir) — OpenAI Veri İşleme Eki kapsamında ileri alt veri işleyiciler olarak görevlendirebilir. Bu sonraki işleme, AB Standart Sözleşme Hükümleri, UK Uluslararası Veri Aktarım Eki ve diğer uygulanabilir güvenceler kapsamında gerçekleştirilir; uluslararası aktarım boyutu bizim düzeyimizde Bölüm 8'de ele alınır. Rolü: Bölüm 6'da açıklandığı şekilde kullanılan ses-transkripsiyon, moderasyon ve text-embedding API'lerinin sağlayıcısı. Girdiler: ses kayıtları (geçici), moderasyon için kısa metin parçaları, embedding için kısa sorgu dizeleri. Saklama: kötüye kullanım izlemesi için 30 güne kadar; API verileri üzerinde model eğitimi yapılmaz, Bölüm 6'da açıklandığı gibi.

Çökme raporlama ve hata izleme — Functional Software, Inc. d/b/a Sentry, merkez adresi 45 Fremont Street, 8th Floor, San Francisco, California 94105, Amerika Birleşik Devletleri'dir. Rolü: kişisel veriyi tanımlayan istek alanları kaynakta kazınmış olarak çökme raporlarını ve yakalanmamış istisnaları yakalar ve toplar. Veriler: yığın izleri, hata anındaki uygulama durumu, cihaz sınıfı, OS sürümü. Fotoğraflarınızı, ses kayıtlarınızı veya yetiştirme verilerinizi Sentry'ye iletmiyoruz.

Çökme raporlama (mobil, ikincil) ve push bildirimleri — Google LLC (Firebase'i işletir), merkez adresi 1600 Amphitheatre Parkway, Mountain View, California 94043, Amerika Birleşik Devletleri'dir. Rolü: Yerel çökme raporları için Firebase Crashlytics ve push bildirimi teslimi için Firebase Cloud Messaging (FCM). Veriler: çökme imzaları, işletim sistemi tarafından düzenlenen cihaz tanımlayıcıları, push belirteçleri. FCM yalnızca bir aktarma görevi görür ve teslim için gerekenin ötesinde bildirim yükü içeriğine erişmez.

E-posta teslimi (işlemsel): Kimlik doğrulama, beta erişim ve hesap yönetimi e-postalarını teslim etmek için bir işlemsel e-posta sağlayıcısı görevlendirilebilir. Sağlayıcı görevlendirildiğinde bu bölüme eklenecek ve değişiklik önemli politika güncellemesi olarak iletilecektir.

Uygulama mağazası dağıtımı: Apple Inc. (yayımlandığında Apple App Store) ve Google LLC (Google Play), kendi mağazalarıyla etkileşiminizden topladıkları mağaza düzeyindeki veriler için bağımsız veri sorumluları olarak hareket eder ve kendi gizlilik politikalarına tabidir. Apple veya Google tarafından yapılan mağaza düzeyindeki veri toplamayı kontrol etmiyoruz ve sorumlu değiliz.

Hizmet geliştikçe alt veri işleyici ekleyebilir, kaldırabilir veya değiştirebiliriz. Bu listedeki önemli değişiklikler (içerik düzeyinde veri işleyen yeni bir veri işleyicinin eklenmesi gibi) bu bölümde yansıtılır ve gerektiğinde Uygulama veya Web Sitesi aracılığıyla iletilir.

İşleten, Avrupa Ekonomik Alanı'nda yerleşiktir (Berlin, Almanya Federal Cumhuriyeti). Bölüm 7'de tanımlanan alt veri işleyicileri Amerika Birleşik Devletleri'nde kuruludur; kısmi istisnalar olarak depolama bölgesi Avrupa Birliği'nde olacak şekilde yapılandırılan Supabase ve OpenAI işlemesi için sözleşme tarafı olan, İrlanda Cumhuriyeti'nde kurulu OpenAI Ireland Limited bulunmaktadır. Sonuç olarak, kullanıcıların — özellikle Avrupa Ekonomik Alanı, Birleşik Krallık, İsviçre, Türkiye veya başka bölgelerde olağan ikamet eden kullanıcıların — kişisel verileri belirli alt veri işleyiciler tarafından Amerika Birleşik Devletleri'ne aktarılabilir ve orada işlenebilir.

AEA, UK veya İsviçre sakinlerinin kişisel verileri, Avrupa Komisyonu tarafından yeterlilik kararı verilmemiş bir ülkeye (özellikle Amerika Birleşik Devletleri'ne) aktarıldığında; GDPR Madde 44–49 uyarınca Avrupa Komisyonu'nun Standart Sözleşme Hükümleri'ne (Uygulama Kararı 2021/914, "yeni SCC'ler") ve uygulanabildiği yerde UK Uluslararası Veri Aktarım Eki veya UK Uluslararası Veri Aktarım Sözleşmesi'ne dayanırız. Schrems II kararı (C-311/18) ve Avrupa Veri Koruma Kurulu'nun ek tedbirler önerileri ışığında aktarım etki değerlendirmesi yaparız ve aktarım sırasında şifreleme, beklemede şifreleme, erişim kontrolleri ve veri minimizasyonu dahil teknik tedbirler uygularız.

Türkiye'de olağan ikamet eden kullanıcıların kişisel verileri için, sınırlar ötesi aktarım kuralları KVKK Madde 9 ve GDPR ile birlikte uygulanır. Bu tür aktarımlar, KVKK Madde 9 uyarınca açık rıza veya izin verilen diğer dayanaklara göre, Kişisel Verileri Koruma Kurulu'nun bağlayıcı kararları (Kurul tarafından yayımlanan ve uygun olduğu hallerde tescil edilen standart sözleşme şablonları dahil) dikkate alınarak gerçekleştirilir.

Hizmet'i kullanarak, kişisel verilerinizin Amerika Birleşik Devletleri'nde ve veri koruma rejimi ikamet ettiğiniz ülkenin rejiminden farklı olabilecek diğer yargı alanlarında işlenebileceğini kabul etmiş olursunuz. İlgili aktarım mekanizmalarının kopyalarına privacy@canacia.com adresine talep göndererek erişebilirsiniz.

Geçerli mevzuat saklı kalmak kaydıyla, hakkınızda işlediğimiz kişisel verilerle ilgili aşağıdaki haklara sahipsiniz. Doğrulanabilir taleplere; GDPR talepleri için bir ay içinde (karmaşık konularda iki ay daha uzatılabilir), KVKK Madde 13 talepleri için onay tarihinden itibaren 30 gün içinde ve CCPA/CPRA talepleri için 45 gün içinde (bir kez 45 gün daha uzatılabilir) yanıt veririz.

Erişim hakkı (GDPR m.15, KVKK m.11/1(b)-(c), CCPA §1798.110): Hakkınızda kişisel veri işleyip işlemediğimizin teyidi, bu verinin bir kopyası ve işleme hakkında bilgi alma.

Düzeltme hakkı (GDPR m.16, KVKK m.11/1(d), CPRA §1798.106): Yanlış veya eksik kişisel veriyi düzelttirme.

Silme / unutulma hakkı (GDPR m.17, KVKK m.11/1(e), CCPA §1798.105): Kişisel verinizin silinmesini isteme; yasal istisnalara tabidir (örneğin, devam eden bir hukuki yükümlülük, hukuki taleplerin kullanılması veya savunulması ya da makul yedek saklama pencereleri içinde teknik imkânsızlık).

İşlemenin kısıtlanması hakkı (GDPR m.18): Belirli koşullarda işlemeyi kısıtlamamızı isteme (örneğin, doğruluk tartışılırken).

Veri taşınabilirliği hakkı (GDPR m.20, KVKK m.11/1(f)): Otomatik yollarla rıza veya sözleşmeye dayalı olarak işlenen kişisel verinizi yapılandırılmış, yaygın olarak kullanılan, makine tarafından okunabilir bir formatta alma ve teknik olarak mümkün olduğunda başka bir veri sorumlusuna iletme.

İtiraz hakkı (GDPR m.21): Profil çıkarma dahil meşru menfaate dayalı işlemeye istediğiniz zaman itiraz etme. Haklarınızı geçersiz kılan zorlayıcı meşru gerekçelerimizi gösteremezsek, işleme durdurulur.

Açık rızanın geri alınması hakkı (GDPR m.7(3), KVKK m.5/1): İşleme rızaya dayanıyorsa, rızanızı istediğiniz zaman geri çekme. Geri çekme, geri çekmeden önce gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.

Yalnızca otomatik karara — hukuki ya da benzer şekilde önemli bir etki oluşturan — tabi olmama hakkı (GDPR m.22): Hizmet'in AI destekli çıktıları tavsiye niteliğindedir ve üzerinizde hukuki etki oluşturmaz. Şu an itibarıyla Madde 22'yi tetikleyen otomatik karar verme sürecimiz yoktur.

Şikayet hakkı (GDPR m.77, KVKK m.14): Yetkili bir denetim makamına, özellikle olağan ikamet yerinizin, iş yerinizin veya iddia edilen ihlal yerinin denetim makamına şikâyette bulunma. İşleten için (Berlin, Almanya) yetkili denetim makamı, Berliner Beauftragte für Datenschutz und Informationsfreiheit'tir (BlnBDI, https://www.datenschutz-berlin.de). Türkiye'de ikamet eden veri sahipleri için Kişisel Verileri Koruma Kurumu (KVKK Kurumu, https://www.kvkk.gov.tr) yetkilidir.

Haklarınızı nasıl kullanabilirsiniz: Çoğu hak, doğrudan Uygulama içinde Ayarlar → Gizlilik & Veri bölümünden kullanılabilir (veri dışa aktarma ve hesap silme dahil). Ayrıca, hesabınızı tanımlamamıza yetecek bilgilerle birlikte privacy@canacia.com adresine yazılı bir talep gönderebilirsiniz. Talep edenin kimliğini doğrulama yükümlülüğümüz çerçevesinde, kişisel veriyi açıklamadan önce ek doğrulama isteyebiliriz.

Bu bölüm, Kaliforniya'da ikamet ediyorsanız, 2018 tarihli California Consumer Privacy Act'in 2020 tarihli California Privacy Rights Act ile değişik haline (topluca "CCPA") uygun olarak bu politikanın geri kalanını tamamlar.

Toplanan kişisel bilgi kategorileri (CCPA §1798.140(v)): tanımlayıcılar (e-posta, hesap UUID'si, cihaz tanımlayıcıları); müşteri kayıtları (hesap verileri); ticari bilgi (bekleme listesi katılımı, beta erişim durumu); internet veya diğer elektronik ağ etkinliği (Uygulama ve Web Sitesi kullanım telemetrisi, çökme verisi); ses ve görsel bilgi (gönderdiğiniz fotoğraflar ve ses kayıtları); konum bilgisi (yalnızca dil ve saat dilimi ayarları çözünürlüğünde; hassas konum toplamıyoruz); yukarıdakilerden çıkarılan inferansler (sınırlı; bitki durumu hakkındaki AI çıktıları tüketici profili oluşturmak için kullanılmaz).

Kişisel bilginin kaynakları: doğrudan sizden; Hizmet'i kullandığınızda cihazınızdan otomatik olarak; ve dolaylı olarak alt veri işleyicilerimizden.

Bilginin işlendiği iş veya ticari amaçlar (CCPA §1798.140(e)): Hizmet'i sağlamak ve güvenli kılmak; sizinle iletişim kurmak; hata ayıklamak ve Hizmet'i geliştirmek; hukuka uymak ve yukarıda Bölüm 5'te belirtilen ek amaçlar.

Bir iş amacı için kişisel bilginin açıklandığı alıcı kategorileri: Bölüm 7'de tanımlanan alt veri işleyicileri. Bu alıcılara kişisel bilgiyi yalnızca Hizmet'i sağlamak için gerekli ölçüde ve verilerini kullanımlarını kısıtlayan yazılı sözleşmeler kapsamında açıklarız.

Satış veya paylaşım: Kişisel bilgiyi para veya değerli karşılık için satmıyoruz; bağlamlar arası davranışsal reklamcılık için paylaşmıyoruz. Dolayısıyla satış veya paylaşıma karşı çıkma seçeneği sunulmasını gerektirecek bir işlem yoktur; böyle bir faaliyet gerçekleşmediği için Hizmet'te 'Do Not Sell or Share My Personal Information' bağlantısı yer almaz.

Hassas kişisel bilgi (CCPA §1798.121): Hassas kişisel bilgiyi, §1798.121(a) uyarınca izin verilenler (talep edilen hizmetin sağlanması, güvenlik, dolandırıcılık önleme ve benzeri sınırlı amaçlar) dışında bir amaçla kullanmıyoruz. Bu tür kullanımı sınırlandırma hakkına sahipsiniz; mevcut uygulamamız çerçevesinde sizden bir aksiyon talep edilmemektedir.

Tüketici hakları: Kaliforniya sakinleri; bilme, silme, düzeltme, satıştan veya paylaşımdan vazgeçme (burada uygulanabilir değil), hassas kişisel bilgi kullanımını sınırlandırma ve ayrım gözetilmeme haklarına sahiptir. Bu hakları kullanmak için privacy@canacia.com adresine başvurun. Herhangi bir CCPA hakkını kullandığınız için size mal veya hizmet sunumunu reddetmez, farklı fiyat uygulamaz veya farklı kalitede hizmet vermeyiz.

Yetkili temsilci: Kaliforniya sakini, temsilcinin yetkisinin ve tüketicinin kimliğinin doğrulanması koşuluyla yetkili bir temsilci aracılığıyla talep gönderebilir.

Saklama: Bölüm 11'de açıklanmıştır.

Kişisel veriyi; Hizmet'i sağlamak, yasal yükümlülüklerimize uymak, anlaşmazlıkları çözmek ve sözleşmelerimizi uygulamak için gerekli olduğu sürece saklarız. Belirli saklama süreleri aşağıda yer almaktadır.

Hesap verileri: Hesap süresince saklanır. Hesap silme işleminden sonra hesap verileri birincil sistemlerden 30 gün içinde kaldırılır. Şifreli yedek görüntüleri, otomatik rotasyon üzerine yazana kadar afet kurtarma amacıyla 90 güne kadar kalabilir.

Senkronize yetiştirme verileri, vaka kayıtları ve sohbet geçmişi: Hesap süresince saklanır; hesap verileriyle aynı 30 günlük birincil silme ve 90 günlük yedek rotasyonuna tabidir.

Fotoğraflar: Bağlı oldukları vaka kaydının ömrü süresince saklanır; vaka silindiğinde fotoğrafları da silinir. Fotoğraflar AI alt veri işleyicide, alt veri işleyicinin varsayılan saklama penceresi içinde silinir (Bölüm 6).

Ses kayıtları (ham ses): Tarafımızca saklanmaz. Transkripsiyon alt veri işleyicisine iletilir ve transkripsiyondan sonra atılır. Bölüm 6'da açıklandığı gibi alt veri işleyici varsayılan saklama uygulanır.

Bekleme listesi verileri (Web Sitesi): Lansman iletişimleri tamamlanana ya da silme talep edene kadar (hangisi önce gerçekleşirse) saklanır. E-posta adresleri, agregede edilmiş lansman analitiği için 24 ay sonra takma adlandırılır ve aktif ilişki olmaması durumunda operasyonel sistemlerden 36 ay içinde silinir.

Çökme, performans ve ürün-analitiği verileri: Devam eden bir incelemenin çözümü için gerekli olmadıkça 90 güne kadar saklanır.

Web sunucusu günlükleri: Güvenlik ve hata ayıklama amacıyla 30 güne kadar saklanır.

Hukuki saklama ve vergi verileri: Yasal saklama yükümlülüğü olan kayıtlar (örneğin, e-fatura veya ticari yazışma saklama) için daha uzun olan yasal süre uygulanır.

Canacia, local-first bir uygulama olarak inşa edilmiştir. Yetiştirme kayıtlarınız, fotoğraflarınız, notlarınız ve aksiyon geçmişiniz varsayılan olarak cihazınızda saklanır ve Uygulama internet bağlantısı olmadan çalışmaya devam eder. Bulut senkronizasyonu opt-in'dir ve istediğiniz zaman etkinleştirip devre dışı bırakabilirsiniz.

Senkronizasyon etkinleştirildiğinde veriler, Transport Layer Security (TLS 1.2 veya üzeri) üzerinden arka ucumuza iletilir ve burada yönetilen veritabanı ve nesne depolama katmanlarımızda beklemede şifreli olarak saklanır. Kimlik doğrulama belirteçleri kimlik doğrulama sağlayıcımız tarafından düzenlenir ve döndürülür; parola saklamayız.

Misafir modu: Hesap oluşturmadan Uygulama'yı kullanabilirsiniz. Misafir modunda, Bölüm 3'te açıklanan geçici tanılama verileri (devre dışı bırakılabilir) dışında sunucularımıza kişisel veri iletilmez.

Cihazdaki veriler: Uygulama'yı cihazınızdan kaldırmak, o cihazda yerel olarak saklanan yetiştirme verisini kaldırır. Hesabınıza senkronize edilmiş veriler, hesabınızı silene veya belirli kayıtların silinmesini başlatana kadar sunucularımızda kalır.

Web Sitesi, çalışması için kesinlikle gerekli minimum sayıda çerez ve HTML5 yerel-depolama girdisi kullanır; örneğin, seçtiğiniz dili kaydeden bir dil-tercihi çerezi ve bekleme listesi anti-abuse için kullanılan bir oturum çerezi. Bu teknolojiler, kullanıcı tarafından açıkça talep edilen bir hizmeti sağlamak için kesinlikle gerekli oldukları için, AEA üye devletlerinde iç hukuka aktarıldığı haliyle ePrivacy Direktifi (Direktif 2002/58/EC) Madde 5(3) kapsamında rıza şartından muaftır.

Web Sitesi şu an reklam çerezi, üçüncü taraf izleme pikseli, sosyal-ağ etiketi veya rıza gerektirecek analitik çerezi kullanmaz. İleride bu tür herhangi bir teknolojiyi devreye alırsak, opt-in seçeneği sunan bir çerez bildirimi yayımlar ve bu politikayı buna göre güncelleriz.

Tarayıcınızı tüm çerezleri engelleyecek şekilde yapılandırabilirsiniz; bu, Web Sitesi'nin belirli işlevlerini bozabilir.

Uygulama; takip görevi hatırlatmaları, planlı yetiştirme olayları ve vaka güncellemeleri için yerel bildirimler gönderebilir. Yerel bildirimler cihazınızda planlanır ve teslim edilir; internet bağlantısı gerektirmez.

Push bildirimleri, işletim sistemi izni verdiğiniz yerlerde, iOS'ta Apple Push Notification service (APNs) ve Android'de Firebase Cloud Messaging üzerinden teslim edilir. Push bildirimleri yalnızca ürünle ilgili uyarılar (vaka kilometre taşları, planlı görev hatırlatmaları, güvenlik uyarıları) için kullanılır ve bildirimi teslim etmek için gereken bilgiyi içerir. Push bildirimlerini istediğiniz zaman cihaz ayarlarınızdan devre dışı bırakabilirsiniz.

Hizmet, 18 yaş ve üzeri kullanıcılara yöneliktir. 18 yaş altı çocuklardan bilerek kişisel veri toplamayız. Hizmet'te çocuklara yönelik özellikler bulunmaz ve Hizmet'i çocuklara pazarlamayız.

Children's Online Privacy Protection Act (COPPA)'nın geçerli olduğu durumlarda, 13 yaş altı çocuklardan bilerek kişisel bilgi toplamayız. Geçerli yaş eşiğinin altındaki bir kişiden veri topladığımızı öğrenirsek, makul olarak mümkün olan en kısa sürede sileriz.

Bir ebeveyn veya yasal vasi iseniz ve bir çocuğun bize kişisel veri sağladığına inanıyorsanız, lütfen privacy@canacia.com adresine yazın; durumu inceleyelim ve uygun aksiyonu alalım.

Kişisel veriyi yetkisiz veya hukuka aykırı işlemeye karşı ve kazara kayıp, yok olma ya da hasara karşı korumak için, GDPR Madde 32 ve KVKK Madde 12 uyarınca makul teknik ve idari tedbirler uygularız. Bu tedbirler şunları içerir: aktarımda şifreleme (TLS 1.2 veya üzeri); yönetilen veritabanı ve nesne depolama katmanlarında beklemede şifreleme; arka uç erişimi için anahtar tabanlı ve kısa ömürlü kimlik doğrulama belirteçleri; satır düzeyi güvenlik politikaları; personel erişiminde en az ayrıcalık ilkesi; kod incelemesi ve bağımlılık izlemesi dahil güvenli yazılım geliştirme uygulamaları; ve düzenli güvenlik gözden geçirmeleri.

Kişisel veri ihlali bildirimi: Hak ve özgürlüklerinizi etkileme olasılığı bulunan bir kişisel veri ihlali durumunda, GDPR Madde 33 uyarınca yetkili denetim makamına gecikmeksizin ve mümkün olduğunda farkına vardığımız andan itibaren 72 saat içinde bildirimde bulunuruz. İhlal hak ve özgürlükleriniz açısından yüksek risk doğurma olasılığı taşıyorsa, GDPR Madde 34 uyarınca etkilenen kullanıcıları gecikmeksizin bilgilendiririz. Kişisel Verileri Koruma Kurulu'nun 24 Ocak 2019 tarihli ve 2019/10 sayılı Kararı doğrultusunda, KVKK Madde 12/5 uyarınca KVKK Kurumu'na ve etkilenen veri sahiplerine 72 saat içinde bildirim yapılır.

Hiçbir güvenlik tedbiri kusursuz değildir. Hizmet üzerinden gereksiz hassas bilgi göndermemenizi ve Uygulama'nın yüklü olduğu cihaz(lar)da güçlü hesap hijyeni uygulamanızı tavsiye ederiz.

Apple App Privacy ('nutrition labels'): Apple'ın App Privacy bildirim çerçevesinin gerektirdiği şekilde, Uygulama tarafından toplanan veri kategorileri bu politikanın Bölüm 3'ü ile tutarlıdır. Uygulama'nın PrivacyInfo manifestosu; e-posta adresi, fotoğraflar ve videolar, ses verisi, diğer kullanıcı içeriği, kullanıcı tanımlayıcı, çökme verisi, performans verisi, diğer tanı verisi ve ürün etkileşim verisi beyan eder; bunların hiçbiri Apple'ın izleme tanımı kapsamında izleme için kullanılmaz.

Google Play Data Safety: Google Play mağazasındaki Data Safety formumuz; veri satışının olmadığı ve Bölüm 7'de tanımlanan alt veri işleyicilerle paylaşılan veri kategorileri dahil olmak üzere aynı bildirimleri yansıtır.

Uygulama'yı bu mağazalardan birinden indirirseniz, ilgili mağazanın gizlilik politikaları ve platform düzeyindeki veri toplaması bizim politikamıza ek olarak uygulanır.

Bu Gizlilik Politikası'nı Hizmet geliştikçe güncelleyebiliriz. Önemli değişiklikler (içerik verisini işleyen yeni alt veri işleyicilerin eklenmesi, yeni kişisel veri kategorileri veya saklama ya da aktarım mekanizmalarındaki önemli değişiklikler dahil) Uygulama veya Web Sitesi aracılığıyla iletilir ve uygun olduğunda yeniden onay gerektirir.

Bu sayfanın üst kısmındaki 'Son güncelleme' tarihi en son revizyonu yansıtır. Önceki sürümler talep üzerine sağlanır.

Gizlilik soruları, veri-sahibi-hakkı talepleri veya şikayetler privacy@canacia.com adresine gönderilebilir. Genel destek soruları support@canacia.com adresine gönderilebilir.

Veri koruma haklarınızın ihlal edildiğini düşünüyorsanız, yetkili bir denetim makamına şikâyet hakkına sahipsiniz. İşleten'in Berlin, Almanya'daki yerleşim yeri için yetkili denetim makamı, Berliner Beauftragte für Datenschutz und Informationsfreiheit'tir (BlnBDI, https://www.datenschutz-berlin.de). Avrupa Ekonomik Alanı'nın diğer bölgelerinde, Birleşik Krallık'ta veya İsviçre'de olağan ikamet yerinizin, iş yerinizin ya da iddia edilen ihlal yerinin denetim makamı da yetkilidir. Türkiye'de Kişisel Verileri Koruma Kurumu (https://www.kvkk.gov.tr) yetkilidir. Kaliforniya'da California Privacy Protection Agency (https://cppa.ca.gov) ve Kaliforniya Başsavcılığı uygulama yetkisine sahiptir.